パスワードを忘れた? アカウント作成
13633983 story
ニュース

シマンテック社のワンタイムパスワードシステムで障害、複数の銀行でネット振込みできず 25

ストーリー by hylom
早く復旧してよかったですね 部門より

6月27日、シマンテックの認証サービスが障害を起こし、その影響でりそな銀行やセブン銀行などのネットバンキングが一部利用できなくなるというトラブルが発生した(日経xTECHNHKセブン銀行の発表)。

りそな銀行は振込時に、セブン銀行は新規の振込先指定時にワンタイムパスワードでの認証が必要となり、ここでシマンテックのサービスが使われていたという。そのため、障害の発生でこれらの操作が行えなくなっていた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年06月28日 14時35分 (#3433978)

    pcAnywhere→ソースコード流出、キー漏れ
    証明書→不正発行

    で、今回のOTP
    もはやSymantecの看板にはネガティブなイメージしかないでしょう

  • by Anonymous Coward on 2018年06月28日 14時45分 (#3433984)

    ワンタイムパスワードって公開鍵みたいなものを渡して認証サーバーなんてなくても機能するものだと思ってたけど違ったのか。
    普通に実装すればそうなるよね。
    RFC 6238とかだってそうだし。

    しかし、広告に「ノートンなら、何もしなくてもあんしん。」とかが出てくるのはアレだな。いつものことだけど。

    • by Anonymous Coward on 2018年06月28日 15時48分 (#3434015)

      どうやら、これみたい。

      Symantec Validation & ID Protection (VIP ) チラシ [symantec.com][※PDF注意]

      「クラウドだから認証サーバーを自前で立てなくていい」というのが売りの模様。
      まあ、外部に認証サーバーがあるわけだから、そっちが死ねば認証できないのは当然と言えば当然。

      親コメント
    • by Anonymous Coward

      ノートンを選ぶくらいなら、何もしないほうがあんしん。という意味かもしれません。

    • by Anonymous Coward

      何もしなくてもあんしん。そう、ノートンを使わなければね。

    • by Anonymous Coward

      追記:公開鍵と言っても漏れたら総当たりできるから貰ってないって事かしら。

      • by Anonymous Coward

        ワンタイムパスワードの実装方法にもよるのだろうが、一般的な RFC 6328 みたいなのは公開鍵ではなく、秘密鍵を共有
        鍵が漏れたら正攻法で解けるわけで、総当たりみたいな作業はいらない。
        銀行とかだと、鍵の保持は業者も任せたいってのはあるだろうな。

        Googleやら MS、Yahoo に Facebook なんかも、RFC6328 なのだけど、漏れたら凄いことになりそうね。

        • by Anonymous Coward

          typo 6328じゃなくて 6238 だ。

        • by Anonymous Coward

          うん。考えてみると秘密鍵なんて概念はワンタイムパスワードには無理だった。
          英数数文字回すのと普通にパスワード生成するのと一応最低五千倍くらいは違うとは言え、後者ができれば前者もできる。
          多分実際その通り自前の鍵管理を嫌ったんだろうが、自前のサーバーから漏れたりしうるならなんだってありかる思う。
          専用デバイスとか配ってるならおいそれと交換できないとかは分かるが、スマホとかなら最悪QRコードを読み取らせて再設定させるだけの話なのに。

          • by Anonymous Coward

            金融系で採用されていたようだから、アセスメントの内容よりも体裁が売りになる商売なのかもしれない

    • by Anonymous Coward

      セキュリティ全般に反応して出てくる分には仕方ないけど、
      どうにもこいつらって自社名自社ブランド名に反応しても出してる臭いんだよなぁ…

      ニュースにしろ個人ブログにしろ大体の場合は悪評なんだから、
      自社に属する名前は逆に広告出稿のNGワードにでもしてしまえばいいのに。(できるかどうかは知らない)

      ポジティブに名前が出てくることもなくはないけど、決定的有意なら内容自体が広告で広告するまでもないし、
      逆にこういう時に名前が出てきて間抜けな製品・広告主だと周知されるほうがダメージでかいんじゃないかと。

      ネット広告業界が短絡的な事して自らの首を締めてくのはいつものことだけど、
      一体いつになれば広告主たちがそれをしっかり意識するようになるのだろう。
      # セキュリティ業界自体も首絞め仲間なところがあるからこいつらは当分仲良くしてそうだが。

  • by Anonymous Coward on 2018年06月28日 14時58分 (#3433992)

    ユーザーの評判はともかく
    表立ったやらかしはトレンドマイクロの専売特許だったけど
    最近はシマンテックも肩を並べてきたなと

    • by Anonymous Coward

      シマンテックは証明書で散々やらかしたじゃないですかー
      # もう売却したけど。

      • by Anonymous Coward

        リファラー消して閲覧不能を発生させたりパッシブなCSRF対策を無効化してユーザに不利益振りまいたこともあるね。

        誤検知と負荷の類でも名を馳せてたけど、これは同ジャンル全般の話でシェアとも比例しちゃうから引き合いに出すのは可哀想か。

  • by Anonymous Coward on 2018年06月28日 15時46分 (#3434014)

    みずほ証券では117万口座が2日半もの間、封鎖されていたのだった。
    あぁ、リテールソルジャーの雄姿かな

    (記者会見で配られたという資料、日立への風評被害が酷すぎる)

  • ネットゲームでワンタイムパスワード側のトラブルで数日接続できなくなったことがありましたが

    ゲームの運営は「ワンタイムパス側へ問い合わせて」
    ワンタイムパス側は「障害情報の公開はしてません」

    と、謝罪も補償も事実認定もされなかったということが。

    • by Anonymous Coward

      なるほどクレーマーを撃墜できるのかこれは凄まじいメリットだ

  • by Anonymous Coward on 2018年06月29日 12時07分 (#3434527)

    iOS版の『ノートンWiFiプライバシー』っていうVPNソフト入れてるんだけど、この間なんかやたらと、不審なネットワークを見つけたみたいな通知を上げててなんだろうと思った。
    何となく、この障害の時間帯と同じ頃だったような……?

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...